ISO IEC 27102-2019 PDF

Полное наименование и описание

ISO/IEC 27102:2019 — «Information security, cybersecurity and privacy protection — Guidelines for applying ISO/IEC 27001 and related standards in support of cyber insurance» (рус. приблизительно: «Информационная безопасность, кибербезопасность и защита конфиденциальности — Руководящие указания по применению ISO/IEC 27001 и смежных стандартов в поддержку киберстрахования»). Документ даёт практические рекомендации по использованию системы управления информационной безопасностью при оценке, приобретении и использовании полисов киберстрахования и по обмену информацией между страхователем и страховщиком.

Аннотация

Стандарт содержит руководство для организаций, рассматривающих покупку киберстрахования как опцию обработки рисков: выбор киберстрахования, его использование для смягчения последствий инцидентов, обмен данными и информацией с страховой компанией в целях андеррайтинга, мониторинга и урегулирования убытков, а также применение возможностей и артефактов ISMS при взаимодействии со страховщиком. Документ применим для организаций любого типа и размера, планирующих приобрести киберстрахование.

Общая информация

• Статус: Опубликован (Published).
• Дата публикации: 13 августа 2019 (2019-08-13).
• Организация-издатель: Международная организация по стандартизации (ISO) и Международная электротехническая комиссия (IEC); технический комитет ISO/IEC JTC 1/SC 27.
• ICS / категории: 35.030 (IT Security).
• Редакция / версия: Издание 1 (Edition 1, 2019).
• Количество страниц: 18 страниц.

Область применения

Руководство предназначено для организаций, которые рассматривают покупку или уже приобрели киберстрахование и желают встроить этот инструмент в рамки управления информационной безопасностью (ISMS). Стандарт пригоден для всех типов организационных структур и отраслей; помогает согласовать обмен информацией с страховщиком (для андеррайтинга, мониторинга и урегулирования претензий) с требованиями безопасности, приватности и управления рисками.

Ключевые темы и требования

• Оценка целесообразности киберстрахования как опции управления рисками и интеграция этого решения в процесс управления рисками ISMS.
• Рекомендации по использованию существующих практик и артефактов ISO/IEC 27001/27002 при взаимодействии со страховщиком.
• Определение типов информации, необходимых для андеррайтинга, мониторинга и урегулирования убытков, и рекомендации по их защищённой передаче.
• Требования к конфиденциальности и защите персональных данных при обмене сведениями между страхователем и страховщиком.
• Распределение ролей и ответственности (страхователь, страховщик, брокер, внутренние владельцы рисков), процессы документирования и обеспечения соответствия.
• Практические рекомендации по использованию страховых механизмов для уменьшения влияния инцидентов и согласованию требований к безопасности с условиями полиса.

Применение и пользователи

Документ ориентирован на руководителей по рискам, руководителей информационной безопасности (CISO), специалистов по комплаенсу и защите данных, специалистов по страхованию и андеррайтингу, брокеров и аудиторов. Он полезен организациям при планировании закупки киберстрахования, подготовке набора информации для страховщика и при установлении процессов взаимодействия в рамках ISMS.

Связанные стандарты

Стандарт логически связан с семейством ISO/IEC 27000 (в частности ISO/IEC 27001 и ISO/IEC 27002) и с другими документами по управлению рисками и приватности (например, расширениями и руководствами по защите персональных данных). При внедрении рекомендовано учитывать требования и руководства ISO/IEC 27001 и ISO/IEC 27002.

Ключевые слова

киберстрахование, cyber insurance, ISMS, ISO/IEC 27001, андеррайтинг, мониторинг, урегулирование убытков, обмен данными, конфиденциальность, управление рисками, ISO/IEC JTC 1/SC 27.

FAQ

В: Что это за стандарт?

О: Руководящий международный стандарт, дающий рекомендации по применению практик информационной безопасности и ISMS (ISO/IEC 27001 и родственных документов) в контексте приобретения и использования киберстрахования.

В: Что он регулирует?

О: Документ не устанавливает обязательных технических требований — это руководство. Он охватывает оценку целесообразности киберстрахования, способы использования полиса как меры по снижению последствий инцидентов, и практики безопасного обмена информацией между страхователем и страховщиком для андеррайтинга, мониторинга и претензий.

В: Кто обычно использует?

О: Специалисты по управлению рисками, руководители информационной безопасности, команды по соответствию и приватности, страховые компании и брокеры — все стороны, вовлечённые в покупку, андеррайтинг и использование киберстраховых продуктов.

В: Он актуален или заменён?

О: Стандарт был опубликован 13 августа 2019 и остаётся действующим; однако на странице жизненного цикла ISO указано, что документ проходит периодическую проверку и что по нему начата работа по обновлению (AWI 27102). Это означает, что базовая редакция 2019 года остаётся применимой, но ожидается её пересмотр/обновление. При принятию решений рекомендуется учитывать, выпущена ли обновлённая редакция к моменту применения.

В: Это часть серии?

О: Да. Документ входит в широкую область стандартов по информационной безопасности и кибербезопасности и логически связан с семейством ISO/IEC 27000 (в частности ISO/IEC 27001 и ISO/IEC 27002). Его следует рассматривать как дополнение и практическое руководство в контексте существующей ISMS.

В: Какие ключевые слова?

О: Ключевые слова включают: киберстрахование, ISMS, андеррайтинг, мониторинг, урегулирование убытков, обмен информацией, конфиденциальность, управление рисками, ISO/IEC 27001, ISO/IEC 27002.